Detectadas vulnerabilidades en AT&T, T-Mobile y Sprint

Las principales compañías de telecomunicaciones de Estados Unidos tienen graves problemas de seguridad. Así los desvela un grupo de expertos en ciberseguridad tras descubrir fallos de seguridad que podrían dejar al descubierto datos sensibles de sus clientes. Las compañías afectadas son AT&T, Sprint y T-Mobile según desvela el medio BuzzFeed News, que advierte de que los números PIN de las tarjetas de los operadores utilizadas para proteger las cuentas de los clientes de dichos operadores, sufrieron una serie de vulnerabilidades de seguridad durante un tiempo sin determinar, algo que posteriormente ha sido corregido.

El medio cita como la tienda online de Apple contenía el fallo de seguridad que habría expuesto a más de 77 millones de números PIN de cuentas de clientes de T-Mobile. Por su parte, la página web de Asurion, una compañía de seguros telefónicos, también contenía otra vulnerabilidad que dejaba al descubierto las contraseñas de los clientes de AT&T de Asurion. Tanto Apple como Asurion corrigieron las vulnerabilidades después de que BuzzFeed News compartiera los hallazgos de llevados a cabo por expertos en ciberseguridad.

El número PIN de una línea telefónica móvil contiene información confidencial de manera que si un pirata informático tiene acceso a la misma, podría facilmente requisar su número de teléfono y utilizarlo para suplantar la identidad o engañar en la autenticación basada en el uso de códigos recibidos or SMS, una metodología que habitualmente es utilizada para verificar la identidad del usuario cuando inicia sesión en determinadas aplicaciones, cuentas de correo o incluso sesión de banca online. El secuestro de la SIM  también permite que los hackers tengan acceso a las llamadas y los mensajes de texto de la víctima. En algunos países, el PIN predeterminado de un cliente de operador móvil coincide con los últimos cuatro dígitos de su número de seguridad social.

Afortunadamente, las páginas de validación de las cuentas de operadores como Verizon, Sprint y AT&T tienen un límite en los intentos de acceso y de tiempo para bloquear el acceso a los formularios, de manera que es posible paliar en parte la capacidad de los hacker para enviar solicitudes de manera repetida.

Los ingenieros de seguridad de Phobia (Ryan Ceraolo) y Convict (Nicholas Ceraolo) identificaron que los fallos de seguridad estaban asociados a la API de las web de los operadores de manera que conectaban erróneamente la API de validación de las cuentas de los operadores con la web de Apple. Una API o interfaz de programación de aplicaciones permite que terceros puedna acceder a los datos de los clientes y validar las medidas de seguridad, como puedan ser los PIN. En el caso de AT&T, los clientes que contrataron un seguro adicional de su terminal a través de Asurion también quedaron expuestos. Los operadores trabajan sobre el asunto destacando que los sistemas cuentan con múltiples capas de seguridad para reforzar la seguridad de sus clientes.

Las compañías de seguridad destacan que tener un número PIN asociada a la cuenta del móvil continúa estando considerada como una segunda línea de defensa contra los piratas informáticos. Cuanto más larga sea dicha clave, mejor, dado que hace más difícil su descifrado. Es recomendable cambiar el PIN que el proveedor ofrece por defecto y cambiarlo con una frecuencia de como mínimo un año. También conviene revisar las aplicaciones a las que se les conceden permisos de acceso a dicha información. Cada vez es más frecuente evitar la autenticación basada en SMS y utilizar soluciones como Google Authenticator para iOS y Android. Otros grandes servicios como las cuentas de Google, Facebook, Amazon, Dropbox y Twitter pueden configurarse para que funcionen con una aplicación de autenticación que no es vulnerable a ser hackeada mediante el secuestro del número PIN de la SIM.